Unitymedia Fritzbox OS 6.0 Rollout ab 13.1.2014

[Egalus]

Mit dem Updatefile was geleakt worden ist, sieht man, das AVM rechtzügig eine Firmware zur verfügen stellt, an Unitymedia, die aber so eine Politik :streber: betreiben, wir müssen das Update noch intern Testen! 1 Monat..2 :kafffee: . Was macht den AVM cfreak: natürlich Testen die es auch selbst, was will da Unitymedia noch testen :zerstör: . Eine Woche würde ich ja noch verstehen aber Monate, jetzt gibt es keine ausreden mehr Unitymedia. Ps. Denke es war Absicht von AVM, das der Updater geleakt worden ist, Sicherheit geht vor.

Auch wenn ich gerne und oft auf UM rumhacke, so gibt es doch einige triftige Gründe für UM so ein Firmwareupdate vor einem Rollout zu prüfen.
Stell dir vor die machen nen Rollout und danach bricht bei jedem nach jeweils ein paar Minuten die Internetverbindung ab?
Oder die Box fragt nach dem Firmwareupdate alle paar Sekunden nach nem neuen IP-Lease?

Also das da getestet wird ist verständlich, es sollte nur deutlich schneller gehen als es das bei UM normalerweise geht. Aber noch sind nicht mal 4 Tage rum seitdem AVM die neue Firmware fertig hatte.

Viel trauriger finde ich, dass ich vor Tagen dem Support wegen meiner ersten Abrechnung geschrieben habe, die eigentlich eine Null Nummer hätte sein müssen, aber ~35€ betrug. Und heute erhalte ich einen Brief: man hätte mehrfach versucht mich telefonisch zuerreichen und bräuchte meine Mithilfe um das Problem (ob es sich bei dem Problem nun um die Rechnung oder eins der vielen technischen Probleme, die ich gemeldet habe, handelt steht da leider nicht), ich möge doch bitte die kostenpfichtige Hotline anrufen und mitteilen wo ich tagsüber erreichbar bin.
Die haben Wochentags gegen 15:30 Uhr 2 mal auf meiner alten Telefonnummer angerufen, 2 mal auf einer ihrere neuen und einmal auf dem Handy, alles innehalb von einer Minute. Natürlich haben sie auf keinen der drei Anrufbeantworter gesprochen, noch ist die anrufende Rufnummer rückrufbar, noch haben sie es für möglich befunden auf meine Online erstellte Aufforderung per Mail zu antworten?!?
Saftladen.

 

[Honki]

Hallo,

wäre jemand so nett, die schon 6.04 draufhaben mir die FRITZ.Box_6360_Cable.06.04.recover-image.exe, ein Link zu senden.

Danke.

möchte mich hier anschließen, her damit und dann druff :winken:

Danke schon mal :super:

 

[LM76]

Guten Morgen,

hätte auch gern den Link zum Update.

Vielen Dank im vorraus.

Gruß

Lars

 

[mpcom]

Hi,

auch ich hätte gern den Link zum Update.

Danke

 

[intruder031]

Moin moin,

ich habe heute morgen bemerkt das ich nicht über meinen eingestellten Port zu meine Fritzbox Kontakt aufnehmen konnte.
Ich habe dann das eine oder andere nachgesehen und musste feststellen, das nachdem ich gestern die Box stromlos gemacht hatte wohl von UM neue Einstellungen für den MyFritz Dienst eingespielt wurden.
Ich denke das UM wohl die Lücke auf diesem Weg schliessen will.

Mfg.
Intruder031

 

[tq1199]

... das ich nicht über meinen eingestellten Port zu meine Fritzbox Kontakt aufnehmen konnte.
... von UM neue Einstellungen für den MyFritz Dienst eingespielt wurden.
Ich denke das UM wohl die Lücke auf diesem Weg schliessen will.

Ich denke, das macht UM evtl. über die config-Datei, temporär bei den FritzBoxen die mit der alten (fehlerhaften) Firmware, den Fernzugang weiterhin benutzen. Ist das so bei dir gewesen?

 

[intruder031]

... das ich nicht über meinen eingestellten Port zu meine Fritzbox Kontakt aufnehmen konnte.
... von UM neue Einstellungen für den MyFritz Dienst eingespielt wurden.
Ich denke das UM wohl die Lücke auf diesem Weg schliessen will.

Ich denke, das macht UM evtl. über die config-Datei, bei den FritzBoxen die mit der alten (fehlerhaften) Firmware, den Fernzugang weiterhin benutzen. Ist das so bei dir gewesen?

Das kann schon sein, ich war nicht betroffen und da ich nicht den Standartport nutze habe ich den Fernzugriff weiter genutzt.
Natürlich mit intensiver Beobachtung und Mailbenachrichtigung.

 

[johnripper]

Moin moin,

ich habe heute morgen bemerkt das ich nicht über meinen eingestellten Port zu meine Fritzbox Kontakt aufnehmen konnte.
Ich habe dann das eine oder andere nachgesehen und musste feststellen, das nachdem ich gestern die Box stromlos gemacht hatte wohl von UM neue Einstellungen für den MyFritz Dienst eingespielt wurden.
Ich denke das UM wohl die Lücke auf diesem Weg schliessen will.

Mfg.
Intruder031

Macht KD auch:
http://www.teltarif.de/kabel-deutschland-fernzugriff-fritzbox-sicherheitsupdate/news/54470.html

Finde ich auch richtig.
Es ihre Box unter ihrer Verwaltung. Da sollen die gefälligst ihren Job machen und mir ärger einfach vom Hals halten

 

[SpaceRat]

hatte wohl von UM neue Einstellungen für den MyFritz Dienst eingespielt wurden.
Ich denke das UM wohl die Lücke auf diesem Weg schliessen will.

Macht KD auch:
http://www.teltarif.de/kabel-deutschland-fernzugriff-fritzbox-sicherheitsupdate/news/54470.html
Finde ich auch richtig.
Es ihre Box unter ihrer Verwaltung. Da sollen die gefälligst ihren Job machen und mir ärger einfach vom Hals halten

Der qualitative Unterschied liegt in der Reaktionszeit.

Jeder wird Verständnis dafür haben, wenn aus technischen Gründen nicht alle Boxen gleichzeitig aktualisiert werden können.

Allerdings liegt inzwischen eine Woche zwischen der Anerkennung als Hack am 7.2.2014 (Verbunden mit der Empfehlung den Fernzugriff abzuschalten) und der Anwendung dieses Workarounds durch Unitymedia.

Die Teltarif-Meldung hingegen datiert von gestern, ohne weitere Angaben, wie lange KD das schon so macht, aber mit dem Hinweis, daß KD damit begonnen hat, den richtigen Fix (Also das Update) auszurollen.
Nach Quellen aus dem Forum rollt KD das Update sogar schon seit dem 11.2. aus.
Bei Unitymedia reden wir also von einer Woche zwischen Sicherheitswarnung und Workaround, bei KD von 4 Tagen zwischen Sicherheitswarnung und Bugfix.

Und wer den Fernzugriff braucht, kennt auch den Unterschied zwischen Workaround und Fix ...

 

[hajodele]

Finde ich auch richtig.
Es ihre Box unter ihrer Verwaltung. Da sollen die gefälligst ihren Job machen und mir ärger einfach vom Hals halten

So was halte ich für höchst bedenklich.
Es gibt Situationen und Umgebungen in denen der Fernzugang trotz aller Bedenken weiterlaufen MUSS.
Hierzu zählt z.B. die Fritzbox meiner Mutter. Dort ist nichtmal ein PC vor Ort, mit dem ich via Teamviewer was machen könnte.
Als Sicherheitsmaßnahme habe ich darum nur Myfritz.net und DDNS abgestellt sowie den Fernwartungsport und Passwort geändert.
Der Zugriff erfolgt nur noch via IP, die ich per Email erhalte.

 

[hajodele]

In Kabelbw-Land hat der Upgrade begonnen:
Meine Mutter hat auf ihrer 6340 jetzt die 6.03
Meinen Schwager (6360) habe ich noch nicht erreicht, damit ich über Teamviewer die ganze Sache anschauen kann.

 

[Egalus]

Finde ich auch richtig.
Es ihre Box unter ihrer Verwaltung. Da sollen die gefälligst ihren Job machen und mir ärger einfach vom Hals halten

Als Sicherheitsmaßnahme habe ich darum nur Myfritz.net und DDNS abgestellt sowie den Fernwartungsport und Passwort geändert.
Der Zugriff erfolgt nur noch via IP, die ich per Email erhalte.

Und du meinst das Scannen einer IP-Range (die an deutsche Provider vergebenen IP Adressen sind kein Geheimnis) über alle Ports wäre ein Problem?
Das geht verteilt, automatisiert und mit relativ wenig Bandbreite in vernünftiger Zeit.
Damit gewinnst du vielleicht gegen das 0815 Scriptkiddie, aber wohl kaum gegen die, die diese Lücke gefunden haben und über ausländische Mehrwertdienste Geld verdienen.

 

[hajodele]

Finde ich auch richtig.
Es ihre Box unter ihrer Verwaltung. Da sollen die gefälligst ihren Job machen und mir ärger einfach vom Hals halten

Als Sicherheitsmaßnahme habe ich darum nur Myfritz.net und DDNS abgestellt sowie den Fernwartungsport und Passwort geändert.
Der Zugriff erfolgt nur noch via IP, die ich per Email erhalte.

Und du meinst das Scannen einer IP-Range (die an deutsche Provider vergebenen IP Adressen sind kein Geheimnis) über alle Ports wäre ein Problem?
Das geht verteilt, automatisiert und mit relativ wenig Bandbreite in vernünftiger Zeit.
Damit gewinnst du vielleicht gegen das 0815 Scriptkiddie, aber wohl kaum gegen die, die diese Lücke gefunden haben und über ausländische Mehrwertdienste Geld verdienen.

Das habe ich nicht behauptet. Nur halte ich so das Restrisiko in erträglichen Grenzen.
Der Angriff erfolgt ausschließlich über den Standardport und ohne Myfritz.net und DDNS müssen sie auch noch anfangen, öffentliche IPs zu scannen.
Da können sie sich doch einfacher an einer der tausenden Fritzboxen schadlos halten, bei denen nichts gemacht wurde.

P.S: Ich vergaß oben:
- Innerhalb der Fritzbox sind schon die ganze Zeit Ausland und Sonderrufnummern gesperrt.
- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.

 

[Joerg123]

In Kabelbw-Land hat der Upgrade begonnen:
Meine Mutter hat auf ihrer 6340 jetzt die 6.03

Wo liegt denn wohl noch der Unterschied zwischen 6.03 und 6.04 ?
also wer das Recovery-Update 6.04 hat mit dem dazuehörigen PDF von AVM, der mag sich, so wie ich, gewundert haben, dass es keine Beschreibung zu 6.03 gibt, es wird 6.02 und direkt danach 6.04 beschrieben, was ich auch etwas eigenartig fand.
Insbesondere eigenartig, wo der Fix der Sicherheitslücke unter 6.04 aufgerführt ist - und jetzt auch nicht "mehr fixes" wo man sagen könnte, dass ein kleineres Fritzbox-Modell auf diese zusätzlichen Features/Fixes verzichten könnte, weil das Modell diese nicht unterstützt, 6.04 weisst als Neuerung einzig den Fix des Sicherheitsproblems auf.

 

[SpaceRat]

Als Sicherheitsmaßnahme habe ich darum nur Myfritz.net und DDNS abgestellt sowie den Fernwartungsport und Passwort geändert.
Der Zugriff erfolgt nur noch via IP, die ich per Email erhalte.

Der MyFritz!-Dienst scheint mir bei der Sache nur eine Statistenrolle zu spielen.
Über MyFritz! war es nur einfacher, die Geräte zu finden, weil hinter der Domain blubber.myfritz.net eben immer
1. eine Fritz!Box
2. einer Generation die Fernwartung kann
steckt, hinter superkabel.de oder unitymediagroup.de aber nicht unbedingt.

Ich denke mal, daß man alleine mit einem Non-Standard-Port noch so lange "sicher" vor Angriffen ist, wie es noch Boxen gibt, die sich über <blubber>.myfritz.net und Standard-Port auf dem goldenen Tablett präsentieren.

Danach kommen die Fritz!Boxen dran, deren Fernwartung innerhalb der alten, überschaubaren Port-Range liegt, und zwar zuerst bei den Providern, die Fritz!Boxen ausliefern, schätzungsweise angefangen bei
dip0.t-ipconnect.de = T-Online Resale, also in nicht unerheblichem Maße 1&1, wo man fast immer eine Fritte kriegt.
gefolgt von telefonica und qsc (Ebenfalls 1&1, aber auch Congstar, die ebenfalls Fritten verteilen).
Usw.

Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.

"Sicher" ist dabei natürlich arg relativ, aber bekannte Fälle bei denen auch Non-Standard-Ports probiert wurden sind selten bis nicht existent.

Meine Fritten 7170, 7570 und 7390, aber alle auf Non-Standard-Port, hat anscheinend niemand angegriffen.
Da es sich um freie Fritten handelt, sind die natürlich inzwischen auch alle gefixt.

 

[SpaceRat]

In Kabelbw-Land hat der Upgrade begonnen:
Meine Mutter hat auf ihrer 6340 jetzt die 6.03

Wo liegt denn wohl noch der Unterschied zwischen 6.03 und 6.04 ?
also wer das Recovery-Update 6.04 hat mit dem dazuehörigen PDF von AVM, der mag sich, so wie ich, gewundert haben, dass es keine Beschreibung zu 6.03 gibt, es wird 6.02 und direkt danach 6.04 beschrieben, was ich auch etwas eigenartig fand.

Der Unterschied liegt in den Boxen, für die sie sind.
Auf meiner 7390 läuft auch eine 06.03 mit dem Fix.

Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.
Bei meiner 7570 ist Version 75.04.92 die gefixte, da die Box vorher nur bis 75.04.91 gepflegt worden war ..
Die 7170 ist sogar bei 29.04.88 schon gefixt, diese war eigentlich mit 29.04.87 EOL und hat einfach nur den Sicherheitsfix verpaßt bekommen.

Es ist halt bei jeder einzelnen Box einfach nur die Minor Version Number um 1 erhöht worden.

Also: Auch wenn die unterschiedlichen Boxen immer mal wieder gleiche Firmware-Versionsnummern aufweisen, dann kann sich das durch kleinere Updates auch immer wieder mal verschieben.

 

[SpaceRat]

- Innerhalb der Fritzbox sind schon die ganze Zeit Ausland und Sonderrufnummern gesperrt.

Über den Tip habe ich auch herzlich gelacht.

Was soll das bewirken?

Daß die Angreifer sich denken "Oh, neeee, der will nicht ins Ausland telefonieren, nehmen wir mal die nächste Box."?
Wenn die Zugriff auf die Box haben, dann können die diese Sperre genauso löschen wie sie auch einen SIP-Account anlegen konnten.

- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.

Wäre hier auch an allen Anschlüssen inakzeptabel.

Ich wohne hier so nah an der Grenze, daß ich mir auch eine KPN-SIM-Karte zulegen könnte und damit Netz hätte. Da hat man dann eben auch Kollegen und Bekannte, die in Belgien oder den Niederlanden wohnen.
Mein Trauzeuge ist halber Holländer ...
Und meine Eltern würden sich auch bedanken, wenn sie wegen einer überflüssigen Sicherheitslücke kein Ferienhaus in den Niederlanden oder Dänemark mehr buchen dürften.

Wir haben nicht mehr 1850, wo selbst Nachbarländer exotisch waren. Andererseits wären wir damals alle Ausländer gewesen, so zersplittert wie Deutschland damals noch war ...
In diesem Sinne: Für ein Deutschland in den Grenzen von 1228 - Neapel bleibt unser!

 

[hajodele]

- Innerhalb der Fritzbox sind schon die ganze Zeit Ausland und Sonderrufnummern gesperrt.

Über den Tip habe ich auch herzlich gelacht.

Was soll das bewirken?

Daß die Angreifer sich denken "Oh, neeee, der will nicht ins Ausland telefonieren, nehmen wir mal die nächste Box."?
Wenn die Zugriff auf die Box haben, dann können die diese Sperre genauso löschen wie sie auch einen SIP-Account anlegen konnten.

Danke, dass ich fürs Amusement beitragen konnte :glück:
Für den Angreifer ist es schon mal ein Schritt mehr, wenn er es von Hand macht. Wenn es gescriptet ist, muss er überhaupt mal daran denken.
Ich brauche eigentlich nur einen Anschluß nach Thailand. Dieser läuft wegen der Kosten über einen Prepaid-Provider. So sind max. 10 Euro weg. Über den gleichen Anschluss telefonieren wir ins deutsche Mobilnetz und, wenn erforderlich, auch in andere Länder. (Ich wohne in Karlsruhe und Frankreich ist in 20 Autominuten locker erreichbar).
Mit der Schweiz brauche ich nicht so viel zu telefonieren, da die dortigen Schwarzgelder eher nicht existent sind :bäh:

 

[marty7]

- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.

Dauert bis zu 2.Std.Bei mir hatte es 1/2 Std gedauert.Kannst du im Kundencenter einsehen :zwinker:

Ich wohne hier so nah an der Grenze, daß ich mir auch eine KPN-SIM-Karte zulegen könnte und damit Netz hätte. Da hat man dann eben auch Kollegen und Bekannte, die in Belgien oder den Niederlanden wohnen.

Was hast du den für ein Netzbetreiber? Selbst wenn ich über die Grenze fahre habe ich noch DE Netz.Da muß ich schon weit nach Holland rein fahren das es auf NL wechselt

 

[jonny-007]

Guten Morgen,

Auch ich würde mich über den Link zum Update sehr freuen.

Vielen Dank im vorraus.

Gruß

Jonny

 

[hajodele]

- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.

Dauert bis zu 2.Std.Bei mir hatte es 1/2 Std gedauert.Kannst du im Kundencenter einsehen :zwinker:

Aber doch nicht in Kabelbw-Land - da gilt
1. no net hudle (nicht so schnell) - mir wurde was von 1-2 Tagen erzählt.
2. bloss gschwätzt (nur mündlich) - unser Kundencenter dient mehr oder weniger nur der Rechnungspflege und die wollen mir das nichtmal bestätigen.

 

[johnripper]

Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.

Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.

Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.

Aufwendig ist das nicht. Es ist aber noch einfacher nur 443 zu scannen (im Moment). Die Wahrscheinlichkeit dass ein FB auf einen anderen wie den 443 Port läuft ist wahrscheinlich viel geringer wie die Wahrscheinlichkeit, dass auf einer anderen IP eine FB mit offenem Port 443 läuft.
Aus dem Grund sind m.E. auch so viele Kabelkunden betroffen:
- Kleine IP Netze die relativ dicht belegt sind.
- Viele Privatkunden, keine großen Bereiche mit statischen IPs und professionellen Serverfarmen wie vielleicht bei der Telekom/T-Systems.
- Viele Fritzboxen als Modem/Router
- Rel. statische IPs.

Auch hier. Die Wahrscheinlichkeit dort eine FB zu treffen ist einfach höher wie bei anderen Providern.

Und den Port von 443 abweichend zu wählen: Sankt-Florian-Prinzip : )

 

[SpaceRat]

Ich wohne hier so nah an der Grenze, daß ich mir auch eine KPN-SIM-Karte zulegen könnte und damit Netz hätte. Da hat man dann eben auch Kollegen und Bekannte, die in Belgien oder den Niederlanden wohnen.

Was hast du den für ein Netzbetreiber? Selbst wenn ich über die Grenze fahre habe ich noch DE Netz.Da muß ich schon weit nach Holland rein fahren das es auf NL wechselt

Ich habe nicht gesagt, daß ich mein Heimatnetz nicht reinkriege, immerhin habe ich ja kein E- oder D/2 sondern o2.
Ich habe lediglich gesagt, daß ich hier auch mit einer KPN-Karte (Heimat-)Netz hätte.

 

[johnripper]

http://forum.kabelbw.de/viewtopic.php?f=17&t=23671&start=90#p235425

 

[SpaceRat]

Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.

Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.

Wenn Du den zitierten Text stehen gelassen oder zumindest gelesen hättest, hättest Du das 6340 erblickt.
Für die ist gar keine Recovery-Firmware im Netz aufgetaucht, zumindest nicht daß ich wüßte.
Logisch also, daß das Changelog der 6360 nicht so recht passen will, wenn wir von einer ganz anderen Box reden.

Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.

Aufwendig ist das nicht.

Natürlich ist es das:

Ich habe dazu gerade mal einen Komplettscan bei einem Freund durchgeführt.

Completed SYN Stealth Scan at 14:07, 269.10s elapsed (65535 total ports)

Das sind etwa 4,5 Minuten, d.h. bevor Du 1000 Hosts gescannt hast, bist Du mehr als 3 Tage älter.

Willst Du bereits durch nmap sicherstellen, welcher der offenen Ports der richtige für

xxxxx/tcp open ssl/http FRITZ!Box http config

ist, kommt noch ein Service-Scan hinzu.

Probierst Du es hingegen direkt mit einem einzigen Port (Also 443), dann bist Du bei einem Nichttreffer nach <20 Sekunden und bei einem Treffer nach <60 Sekunden durch (Inkl. der Identifikation des offenen Ports als tatsächlicher Fritz!Box-Fernzugriff!).
Damit hätte man nur noch zwischen gut 5h und ca. 16,5h gebraucht.

Für die 8 möglichen Ports (443-450) aus älteren Firmwares, wobei eben viele Fritz!Boxen gewohnheitsmäßig noch auf einem davon konfiguriert sein werden, braucht man nur unwesentlich länger als für einen.

Es ist aber noch einfacher nur 443 zu scannen (im Moment). Die Wahrscheinlichkeit dass ein FB auf einen anderen wie den 443 Port läuft ist wahrscheinlich viel geringer wie die Wahrscheinlichkeit, dass auf einer anderen IP eine FB mit offenem Port 443 läuft.

1. als.
2. Ganz genau. St.-Florian-Prinzip nennt man das.

Solange ich binnen 3,5 Tagen zwischen 16800 (Nieten) und 5000 (Alles Treffer!) Boxen abklappern kann und damit genug Opfer finde, begnüge ich mich nicht mit 1000 (Treffer und Nieten).
Full Portscan ist erst die Ü30-Party/Restef1cken.

Aus dem Grund sind m.E. auch so viele Kabelkunden betroffen:
- Viele Fritzboxen als Modem/Router

Das wäre bei t-ipconnect.net auch nicht so viel anders.
Da tummeln sich Unmengen an 1&1- oder Congstar-Kunden, die noch viel häufiger (Nämlich meistens) Fritz!Boxen haben als Kabelkunden (Die auch Bridge+D-Link, DK7200 oder Cisco EPC3208G haben könnten).

Wir wissen übrigens längst nicht, wo wirklich die meisten Betroffenen zu finden sind.

Es gibt nur offensichtliche Gründe dafür, wieso wir bisher am meisten von den Opfern bei KNB wissen:
Diese kriegen das Endgerät meist aufgezwungen, hier ist also der Provider in der Pflicht und hat daher ein Eigeninteresse zum Handeln.

Niemand weiß, wie groß die Opferzahlen bei den anderen Anbietern noch werden, wenn erst einmal alle Rechnungen für Februar raus sind ...
Telekom, Vodafone, etc. haben ja gar keinen Grund, ihre Kunden proaktiv zu warnen, sobald der Mißbrauch anfängt!
Die werden die Euros noch schön von den Konten einziehen, bevor den Kunden überhaupt nur auffällt, daß sie gehackt worden sind ... der blöde Kunde hätte ja das SpeedPort mieten oder die Easybox dranlassen können ...

Ich würde übrigens aus folgender Überlegung heraus gezielt DS-lite-Kunden scannen:
Da das AVM-eigene VPN darüber nicht geht, erwarte ich hier überproportional häufig eine offene Fernwartung ...

Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.